{
	"id": "120d2cf1-12d4-4e23-8680-88e558ae3da4",
	"created_at": "2026-04-06T00:12:43.290334Z",
	"updated_at": "2026-04-10T03:20:19.332594Z",
	"deleted_at": null,
	"sha1_hash": "ac93d0251a23287772d052bd08e6aef89ffee1be",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1152494,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-02 11:25:28 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 17.03.2022 виявлено\r\nдекілька ZIP-архівів, один з яких мав назву \"Вирус... крайне опасно!!!.zip\". Кожен з архівів містить\r\nобфусковану .NET-програму. В результаті проведеного аналізу виявлені програми класифіковано як\r\nDoubleZero - шкідлива програма-деструктор, розроблена з використанням мови програмування C#. Для\r\nзнищення файлів використовує два способи: перезапис файлів нульовими блоками по 4096 байт (метод\r\nFileStream.Write) або ж за допомогою API-викликів NtFileOpen, NtFsControlFile (код:\r\nFSCTL_SET_ZERO_DATA). Спочатку здійснюється перезапис всіх несистемних файлів на всіх дисках.\r\nПісля цього складається перелік системних файлів за маскою, здійснюється їхнє сортування та подальший\r\nперезапис у відповідній послідовності. Надалі знищуються гілки реєстру Windows: HKCU, HKU, HKLM,\r\nHKLM\\BCD. Насамкінець комп'ютер вимикається.\r\nАктивність відстежується за ідентифікатором UAC-0088 та має безпосереднє відношення до спроб\r\nпорушення штатного режиму фунціонування інформаційних систем українських підприємств.\r\nІндикатори компрометації\r\nФайли:\r\n36dc2a5bab2665c88ce407d270954d04 d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53\r\n989c5de8ce5ca07cc2903098031c7134 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5\r\n7d20fa01a703afa8907e50417d27b0a4 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe\r\nb4f0ca61ab0c55a542f32bd4e66a7dc2 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a\r\nГрафічні зображення:\r\nhttps://cert.gov.ua/article/38088\r\nPage 1 of 2\n\nSource: https://cert.gov.ua/article/38088\r\nhttps://cert.gov.ua/article/38088\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "CS",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/38088"
	],
	"report_names": [
		"38088"
	],
	"threat_actors": [],
	"ts_created_at": 1775434363,
	"ts_updated_at": 1775791219,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ac93d0251a23287772d052bd08e6aef89ffee1be.pdf",
		"text": "https://archive.orkl.eu/ac93d0251a23287772d052bd08e6aef89ffee1be.txt",
		"img": "https://archive.orkl.eu/ac93d0251a23287772d052bd08e6aef89ffee1be.jpg"
	}
}